首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >9月重点关注这些API漏洞

9月重点关注这些API漏洞

原创
作者头像
小阑本阑
发布2023-10-09 17:12:26
1940
发布2023-10-09 17:12:26
举报
文章被收录于专栏:API安全API安全

为了让大家的API更加安全

致力于守护数字世界每一次网络调用

小阑公司 PortalLab实验室的同事们

给大家整理了

9月份的一些API安全漏洞报告

希望大家查漏补缺

及时修复自己API可能出现的漏洞

No.1  Hadoop Yarn资源管理系统REST API未授权访问漏洞

1696841359_6523be8f12850ca9efd0c.png!small?1696841359620
1696841359_6523be8f12850ca9efd0c.png!small?1696841359620

漏洞详情:Hadoop是一款由Apache基金会推出的分布式系统框架,它通过著名的 MapReduce 算法进行分布式处理,Yarn是Hadoop集群的资源管理系统。此次事件主要因Hadoop YARN 资源管理系统配置不当,导致可以未经授权进行访问,从而被攻击者恶意利用。攻击者无需认证即可通过REST API部署任务来执行任意指令,最终完全控制服务器。

漏洞危害:Hadoop Yarn资源管理系统未授权访问漏洞是指攻击者可以利用该漏洞来获取到Yarn资源管理系统的敏感信息,甚至可以通过该漏洞在Hadoop分布式计算集群中任意执行命令,导致系统受到攻击和破坏。攻击者可以向Yarn的ResourceManager(资源管理器)组件发送未认证的REST API请求,利用此漏洞操纵集群资源和运行作业,可能导致敏感数据泄露,如用户凭据、Hadoop 集群的配置信息等。

影响范围:Hadoop YARN 2.9之前版本和3.0之前版本中,所有应用程序都受到影响。

小阑建议

• 更新至最新版本的Hadoop YARN,其中包含对该漏洞的修复。

• 启用Kerberos身份验证和授权,为Hadoop集群中使用的各种组件和服务提供严格的用户身份验证和授权机制。

• 配置合适的防火墙规则以阻止未经授权的外部访问Hadoop Yarn集群和REST API接口。

• 实施严格的访问控制策略,为Hadoop集群中的各个组件和模块分配最少的特权,并仅允许受信任的用户或主机访问特定组件和端口。

• 实时监控Hadoop Yarn集群的运行状况,记录相关日志并对系统活动进行审计以便及时发现异常行为。

No.2 谷歌云中的GhostToken漏洞

漏洞详情:GhostToken漏洞是指攻击者能够利用谷歌云服务中的某个API密钥,实施跨项目和跨组织的未授权访问。具体来说,通过伪造特定格式的令牌进行请求,在未经授权的情况下访问其他项目或组织的资源。

Google Cloud为应用程序提供了30天的宽限期,在应用程序被计划删除的时间起到永久删除之前。这个宽限期是为了让管理员有机会恢复错误删除的资源。在待删除状态下,应用程序(以及其相关资源,如OAuth2令牌)对平台用户不可见。Astrix的研究人员发现,如果在30天的窗口内取消了应用程序的待删除操作,则应用程序及其所有关联资源将被恢复。他们用OAuth2令牌进行了测试,发现该令牌仍然可以访问其原始资源。

他们描述了如何使用此删除/待删除/取消删除循环来有效地从用户的Google Cloud门户应用程序管理页面中隐藏一个恶意应用程序,使用以下攻击流程:

1696841370_6523be9a032b385525435.png!small?1696841370604
1696841370_6523be9a032b385525435.png!small?1696841370604

使用这种技术,攻击者可以有效地永久隐藏他们的应用程序,除了每30天执行恢复/删除步骤的短暂窗口。

漏洞危害:攻击者可以通过应用程序市场针对Google Cloud用户进行攻击。根据发现该漏洞的Astrix的研究人员称,它可以允许攻击者访问目标账户的Google Drive、Calendar、Photos、Google Docs、Google Maps和其他Google Cloud平台服务。

影响范围:GhostToken漏洞可能影响使用谷歌云服务的项目和组织。具体受影响的范围取决于每个项目和组织配置的权限设置。

小阑建议

• 更新SDK和依赖项:确保使用的谷歌云SDK和相关依赖项是最新版本,以获取对已知漏洞的修复。

• 密钥和凭据管理:审查和管理项目中的API密钥和凭证,确保合理的授权和访问控制策略。密钥不应该泄露给未经授权的人员。

• Least Privilege原则:将最小权限原则应用于项目和组织的访问控制策略,确保每个用户或服务账号仅具有执行其任务所需的最低权限。

• 审计和监控:实施日志记录、审计和监控措施,及时检测和响应异常行为或未经授权的访问。

• 更新公共代码库和框架:如果使用了第三方代码库或框架,及时更新以修复已知的安全漏洞,同时密切关注安全公告和更新。

No.3 JumpServer未授权访问漏洞

1696841389_6523beade6324a424fc8a.png!small?1696841390644
1696841389_6523beade6324a424fc8a.png!small?1696841390644

漏洞详情:9月19日,JumpServer发布了JumpServer的风险通告,漏洞编号为CVE-2023-42442。该漏洞存在于JumpServer中,是一个未授权访问漏洞。api/api/v1/terminal/sessions/权限控制存在逻辑错误,可以被攻击者匿名访问。未经身份验证的远程攻击者可利用该漏洞下载ssh日志,并可借此远程窃取敏感信息。存储在 S3、OSS 或其他云存储中的ssh会话不受影响。

漏洞危害:攻击者可以利用该漏洞绕过认证机制,未经授权地访问JumpServer管理系统,并获取到敏感信息或执行未经授权的操作,如远程访问服务器、执行命令、篡改系统配置等。

影响范围:

1696841399_6523beb766116193ec586.png!small?1696841399885
1696841399_6523beb766116193ec586.png!small?1696841399885

小阑建议

使用强密码策略,启用多因素身份验证等增强认证方式,防止通过猜测密码或弱密码进行未授权访问。

审查和配置合适的访问控制策略,限制访问JumpServer管理系统的IP地址范围,只允许受信任的主机或网络进行访问。

将JumpServer管理系统部署在独立的安全子网中,并确保与其他不相关的系统和网络隔离,以减少攻击面。

分配最小特权原则,确保每个用户仅具有其工作所需的最低权限,并定期审查和更新权限设置。

No.4 SAMSUNG Mobile devices 安全漏洞

1696841408_6523bec07855faa80bf38.png!small?1696841409266
1696841408_6523bec07855faa80bf38.png!small?1696841409266

漏洞详情:SAMSUNG Mobile devices是韩国三星(SAMSUNG)公司的一系列的三星移动设备,包括手机、平板等。SAMSUNG Mobile devices 6.24.2.011之前版本存在安全漏洞,该漏洞源于输入验证不正确。攻击者利用该漏洞可以写入任意文件。

漏洞危害:攻击者可以绕过正确的身份验证机制,以未经授权的方式访问敏感或受限制的数据。攻击者还可以可以使用伪造的身份信息冒充合法用户,进行欺骗、非法操作或违规行为,给用户和系统带来损失。

影响范围:在版本14.5.01.2之前的Gallery的LocalProvider中存在身份验证不当问题。

小阑建议

使用更强大的身份验证机制,如多因素身份验证、双因素认证等,确保只有合法用户能够成功通过验证。

实施严格的访问控制策略,仅允许授权用户访问敏感数据,并根据权限级别对用户进行分类和授权管理。

启用详细的日志记录和审计功能,对身份验证事件进行监控和分析,及时发现异常活动并采取相应措施。

及时安装厂商提供的安全补丁和更新,以修复身份验证问题并增强系统的安全性。

No.5 泛微e-office10 远程代码执行漏洞

1696841422_6523bece6d2c3311597cd.png!small?1696841423079
1696841422_6523bece6d2c3311597cd.png!small?1696841423079

漏洞详情:泛微e-office10是一款专业的协同OA软件,支持全终端,移动功能显著,包括知识文档管理、流程管理、项目管理、客户管理、费用管理、协作区、任务管理等功能模块。泛微e-office10 在 10.0_20230821 版本之前存在远程代码执行漏洞。

漏洞危害:未经授权的攻击者可以构造特制的请求包进行利用,从而进行任意代码执行,控制服务器。攻击者可以执行恶意代码来破坏系统的功能、篡改数据或引发系统崩溃,导致服务不可用。

影响范围:泛微e-office10 < 10.0_20230821

小阑修复建议

• 及时安装官方发布的漏洞修复补丁,确保系统处于最新修复状态。

• 使用强密码策略,启用多因素身份验证,确保只有合法用户可以访问系统。

• 启用详细的日志记录和审计功能,监控系统活动,及时发现异常行为并采取相应措施。

• 定期进行系统的漏洞扫描和安全评估,及时修复漏洞并加固系统安全。

No.6 WordPress plugin Media from FTP 安全漏洞

1696841429_6523bed5187772a625b93.png!small?1696841429567
1696841429_6523bed5187772a625b93.png!small?1696841429567

漏洞详情:WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress plugin Media from FTP 11.17之前版本存在安全漏洞,该漏洞源于权限管理不当。攻击者利用该漏洞可以移动文件位置或执行任意代码。

漏洞危害:权限管理不当可能使得攻击者获得超出其授权范围的权限,从而能够访问受限资源、敏感数据或系统功能。缺乏恰当的权限管理可能使攻击者能够在系统内横向移动,获取更高权限,进一步扩大攻击范围,造成更大的损失。另外,权限管理不当可能导致违反安全合规性要求,如GDPR、HIPAA等,面临法律诉讼和罚款等风险。

影响范围:WordPress plugin Media from FTP 11.17之前版本存在安全漏洞。

小阑建议

为用户和系统分配最低必要权限,避免过度授权和权限泄露。

采用角色和权限模型,将权限分配到逻辑角色上,便于管理和维护,同时避免直接给予个别用户过高权限。

使用强大的身份验证机制,如多因素身份验证和双重验证,确保只有合法用户能够成功通过验证。

定期审查和更新用户的权限,及时清理不再需要的权限,确保权限与用户职责的匹配。

进行定期的安全审计和合规性评估,确保权限管理符合相关法规和标准的要求。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • No.1  Hadoop Yarn资源管理系统REST API未授权访问漏洞
  • No.2 谷歌云中的GhostToken漏洞
  • No.3 JumpServer未授权访问漏洞
  • No.4 SAMSUNG Mobile devices 安全漏洞
  • No.5 泛微e-office10 远程代码执行漏洞
  • No.6 WordPress plugin Media from FTP 安全漏洞
相关产品与服务
云 API
云 API 是腾讯云开放生态的基石。通过云 API,只需少量的代码即可快速操作云产品;在熟练的情况下,使用云 API 完成一些频繁调用的功能可以极大提高效率;除此之外,通过 API 可以组合功能,实现更高级的功能,易于自动化, 易于远程调用, 兼容性强,对系统要求低。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档